深入了解SELinux

最新推荐文章于 2026-03-29 21:06:55 发布
原创 最新推荐文章于 2026-03-29 21:06:55 发布 · 3.3k 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

前言:

本篇blog主要从SELinux历史、DAC和MAC、SELinux运行框图(混合模式)、Apache的例子(Legacy and SELinux)、SELinux Mode、SEPolicy文件结构、SELinux Policy语言介绍,这7个方面,让大家对selinux有整体的了解。


一、SELinux历史

SEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统。
NSA最初设计的安全模型叫FLASK,全称为Flux Advanced Security Kernel(由Uta大学和美国国防部开发,后来由NSA将其开源),当时这套模型针对DTOS系统。后来,NSA觉得Linux更具发展和普及前景,所以就在Linux系统上重新实现了FLASK,称之为SELinux。
Linux Kernel中,SELinux通过Linux Security Modules实现。在2.6之前,SElinux通过Patch方式发布。从2.6开始,SELinux正式入驻内核,成为标配。


二、DAC和MAC

SELinux出现之前,Linux上的安全模型叫DAC,全称是Discretionary Access Control,翻译为自主访问控制。DAC的核心思想很简单,就是:进程理论上所拥有的权限与执行它的用户的权限相同。比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情;

MAC(Mandatory Access Control),强制访问控制,即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限;
e.g: allow netd sysfs:file write;

DAC:
1.自主访问控制
2.主体(Process)的权限Capability决定了它能访问和操作什么ROOT进程可以访问和操作一切!
3.传统(legacy)Linux的安全模式,基于UID/GID/Capability

MAC:
1.强制访问控制
2.系统的Policy决定了主体能操作访问哪些客体
3.即便是ROOT进程,系统Policy配置了你能做什么,你只能做什么,在下MAC模式,ROOT进程和普通进程是无区别对待的。


三、SELinux运行框图(混合模式)

Linux系统先做DAC检查。如果没有通过DAC权限检查,则操作直接失败。通过DAC检查之后,再做MAC权限检查。




四、Apache的例子(Legacy and SELinux)



五、SELinux Mode

Disabled
No SELinux policy is loaded.


Permissive
SELinux grants access & prints errors (denials)


Enforcing
SELinux security policy is enforced – access will be blocked.


Before JBMR2(4.3)
Not Introduce SEAndroid/SELinux


JBMR2
Introduced as Permissive


KitKat
Introduced as Enforcing


Get Mode runtime
getenforce


Set mode runtime
setenforce [enforcing,permissive,1,0]


Change mode in build time: init.c


五、SEPolicy文件结构

/LINUX/android/external/sepolicy$

-rw-rw-r--   1 jonathan jonathan  9375 12月  6 06:32 access_vectors
-rw-rw-r--   1 jonathan jonathan  2303 12月  6 06:32 adbd.te
-rw-rw-r--   1 jonathan jonathan 13787 12月  6 06:32 app.te
-rw-rw-r--   1 jonathan jonathan  1614 12月  6 06:32 attributes
-rw-rw-r--   1 jonathan jonathan   784 12月  6 06:32 binderservicedomain.te
-rw-rw-r--   1 jonathan jonathan  2223 12月  6 06:32 bluetooth.te
-rw-rw-r--   1 jonathan jonathan   424 12月  6 06:32 bootanim.te
-rw-rw-r--   1 jonathan jonathan   841 12月  6 06:32 clatd.te
-rw-rw-r--   1 jonathan jonathan  1355 12月  6 06:32 debuggerd.te
-rw-rw-r--   1 jonathan jonathan  2133 12月  6 06:32 device.te
-rw-rw-r--   1 jonathan jonathan   917 12月  6 06:32 dnsmasq.te
-rw-rw-r--   1 jonathan jonathan 11995 12月  6 06:32 domain.te
-rw-rw-r--   1 jonathan jonathan  1770 12月  6 06:32 drmserver.te
-rw-rw-r--   1 jonathan jonathan  3507 12月  6 06:32 dumpstate.te
-rw-rw-r--   1 jonathan jonathan 10773  1月 23 14:53 file_contexts
-rw-rw-r--   1 jonathan jonathan  2471 12月  6 06:32 zygote.te


netd.te

# network manager
type netd, domain;
type netd_exec, exec_type, file_type;

init_daemon_domain(netd)
net_domain(netd)

allow netd self:capability { net_admin net_raw kill };


attributes

# All types used for devices.
attribute dev_type;
# All types used for processes.
attribute domain;
# All types used for filesystems.
attribute fs_type;
# All types used for context= mounts.
attribute contextmount_type;
# All types used for files that can exist on a labeled fs.
attribute file_type;
# All types used for domain entry points.
attribute exec_type;

Attribute 需要声明


Domain.te

# debugfs access
allow domain debugfs:dir r_dir_perms;
allow domain debugfs:file w_file_perms;

# Get SELinux enforcing status.
allow domain selinuxfs:dir r_dir_perms;
allow domain selinuxfs:file r_file_perms;

# /data/security files
allow domain security_file:dir { search getattr };
allow domain security_file:file getattr;
allow domain security_file:lnk_file r_file_perms;

Attribute的作用为一组Type定义Policy


File_context

/proc                           u:object_r:rootfs:s0
/variant                      u:object_r:rootfs:s0
# SELinux policy files
/property_contexts       u:object_r:rootfs:s0
/seapp_contexts          u:object_r:rootfs:s0
/sepolicy                      u:object_r:rootfs:s0
 

/system/bin/vold          u:object_r:vold_exec:s0
/system/bin/netd          u:object_r:netd_exec:s0
/system/bin/rild            u:object_r:rild_exec:s0
客体(文件)的Type:
Image打包时确定:基于  File_Contexts
运行时创建则默认继承父Folder的Type
运行时Type Transition

#####################################
# init_daemon_domain(domain)
# Set up a transition from init to the daemon domain
# upon executing its binary.
define(`init_daemon_domain', `
domain_auto_trans(init, $1_exec, $1)     
tmpfs_domain($1)
')

六、SELinux Policy语言介绍

SELinux中,每种个体都会被赋予一个安全属性,叫Security Context(SContext),是一个字符串。

进程的Scontext,可通过ps -Z命令查看,
 ps -Z netd
LABEL                          USER     PID   PPID  NAME
u:r:netd:s0                    root      260   1     /system/bin/netd
u为user的意思。SEAndroid中定义了一个SELinux用户,值为u。
r为role的意思。role是角色之意,它是SELinux中一种比较高层次,更方便的权限管理思路,即Role Based Access Control(基于角色的访问控制,简称为RBAC)。简单点说,一个u可以属于多个role,不同的role具有不同的权限
netd: 即netd 的type, MAC的基础管理思路是基于Type Enforcement Accesc Control(简称TEAC,一般用TE表示),netd 所具有的权限,都需要netd.te来定义
S0和SELinux为了满足军用和教育行业而设计的Multi-Level Security(MLS)机制有关

文件的SContext,可通过ls –Z命令查看:
ls -Z /system/bin/netd
-rwxr-xr-x root     shell             u:object_r:netd_exec:s0 netd

u:同样是user之意,它代表创建这个文件的SELinux user。
object_r:文件在SELinux中,用object_r来表示它的role。
netd_exec:netd 作为一个可执行文件的Type;
s0:MLS的级别。


附:1.为什么要分别创建te?

举例:实现一个Camera_d的Native Service
Init.rc中启动之
权衡Policy:
不定义dedicated的Domain Type?则会继承Init Domain Type
后期一系列的policy需求都需要加到Init.TE中?
NO,这些Policy是Camer_d独有的,不该影响所有Init Type的Process Domain
权限分离管理!

2.定义TE,设置Domain Transition
camera-daemon.te
type camerad, domain;
permissive camerad;
type camerad_exec, exec_type, file_type;
init_daemon_domain(camerad)

3.修改File_Contexts
file_contexts
 
/system/bin/camera-daemon      u:object_r:camerad_exec:s0

4.Permissive模式编译
原因
不Block Operation的前提下,一次性暴露所有的问题, 适合开发过程中使用
必须make且重新下载Boot和System img

5.Check Runtime Subject and Object Type

Ps –Z 
 
u:r:camerad:s0             camera    243   1     /system/bin/camera-daemon
 
ls –l - Z
 
-rwxr-xr-x root     shell             u:object_r:camerad_exec:s0 camera-daemon


6.Check AVC Message

adb shell dmesg | grep avc | grep “pid=243” > avc.txt      //catch the kernel log which include the avc logs

Ex: type=1400 msg=audit(1381419041.046:660117): avc: denied { open } for pid=243 comm="camera-daemon" name="kgsl-3d0" dev="tmpfs" ino=2735 scontext= u:r:camerad:s0 tcontext=u:object_r:device:s0 tclass=chr_file


7.修正Policy

依据dmesg 的AVC信息,分析后手动修改camera-daemon.te 增加Policy。
或者Run audit2allow utility on linux machine。
将仅包含特定Process的AVC信息保存在单独log中,比如前面的avc.txt
audit2allow –i avc.txt > avc.te
avc.te
allow camerad device:chr_file open;


将avc.te中的Allow相关的Rules添加到camera-daemon.te中
camera-daemon.te 
type camerad, domain;
permissive camerad;
type camerad_exec, exec_type, file_type;
init_daemon_domain(camerad)
allow camerad device:chr_file open;
重新make并download boot/system img




Winston_Jory
关注
android 8.0 添加开机服务
csh86277516的博客
03-16 5252
手动添加开机服务:1:做个独立文件夹,里面编辑要运行的bin,如下:Android.mk---这里面要做c和h这些文件编辑出bin生成到指定目录:csh.c---main函数在这里面qmi_dms_client.c  qmi_dms_client.h  ---调用qmi去与底层沟通函数2:bin服务文件做好了,开始把它加载到开机启动,device/qcom/common/rootdir/etc/i...
Android系统10 RK3399 init进程启动(二十七) Selinux Type和Attribute
ldswfun的专栏
06-14 3112
Selinux实现的是强制类型访问模型, 可以简单理解一切都是类型, 不管是主体还是客体,都必须类型化, 如客体和客体和主体都需要设置安全上下文, 客体格式为u:r:xxx:s0, 主体为u:object_r:yyy:s0, 其中xxx和yyy是可以自定义的, 但是需要通过type进行类型化声明, 你可以理解type为一个动词,为xxx取名,客体一般声明type, 主体一般声明为domain...
Linux SELinux 详解:从入门到实战,搞定强制访问控制
最新发布
2301_80048473的博客
03-29 733
本文详细介绍了Linux系统中的SELinux安全机制,包括其基础认知、三种运行模式、安全上下文原理及日常配置管理方法。SELinux作为强制访问控制子系统,通过严格限制进程和用户对系统资源的访问权限,提供比传统DAC更高级别的安全防护。文章重点讲解了如何查看和修改安全上下文、管理布尔值开关,以及通过日志排查SELinux拦截问题的具体步骤。针对常见的网页目录迁移、FTP上传等场景提供了解决方案,强调生产环境不应禁用SELinux,而应通过合理配置来平衡安全性和可用性。掌握SELinux的运行机制和故障排查
SeLinux 常见的宏
littleyards的博客
04-01 1285
意味着该声明是可以描述主体和客体的类型切换的, 比如客体文件类型切换, 或者主体进程域的type 切换(上下文切换), 注意:此时只是描述了从哪里切换到哪里的问题。注意:该宏只是申请允许切换,相当于为type_transition申请切换的权限。申请在某个domain(进程)在安全上下文为dir_type的目录下,创建文件,新文件的安全上下文为file_type的权限。允许domain(进程)对安全上下文为type的目录有r_dir_perms权限,文件和lnk_file 有r_file_perms权限。
SELinux
DreamWendy
09-17 1612
参考网址:https://www.cnblogs.com/ly565911158/p/3622942.html
[Android 基础] -- SELinux/SEAndroid 实例简述(三) 实例看 SELinux/SEAndroid
u014674293的博客
09-26 2526
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 1. mmm external/sepolicy 2. make bootimg 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relab...
了解SELinux
Akshsjsjenjd的博客
08-06 618
SELinux(Security-Enhanced Linux)即安全增强型Linux,是由美国国家安全局(NSA)开发的安全机制。
一文了解Android SELinux
执剑人
11-04 2096
SELinux在Android系统中起到了重要的安全防护作用。通过强制访问控制,SELinux能够有效限制应用的权限,防止未经授权的访问。开发者可以通过配置策略文件和调试日志,精确地管理应用的权限和访问范围,从而确保系统的整体安全性。
初步了解 selinux
peak的博客
08-09 362
1.简介: SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是基于内核级的系统安全防护,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enter
了解如何关闭selinux
K8sCat
08-25 1万+
1.查看SELinux状态 1.1 getenforce getenforce 命令是单词get(获取)和enforce(执行)连写,可查看selinux状态,与setenforce命令相反。 setenforce 命令则是单词set(设置)和enforce(执行)连写,用于设置selinux防火墙状态,如: setenforce 0用于关闭selinux防火墙,但重启后失效 [roo...
Android进阶-SELinux
王涛的博客
06-28 5440
前一篇文章已经介绍了SELinux相关知识, https://blog.csdn.net/qq_33750826/article/details/80743035 基于 Android 4.3(宽容模式)和 Android 4.4(部分强制模式)的 Android 5.0 版本,开始全面强制执行 SELinux。 一、政策格式 政策规则采用以下形式: allow domain...
RK3399 Android系统10.0 init进程启动
11-30
课程简述  Android是目前最为流行的移动操作系统之一,它的开发涉及到多个知识领域。本课程将深入介绍Android系统启动过程中的重要组成部分——init进程,并探讨与之相关的多项关键技术。我们还将提供实际的开发案例,以RK3399开发板为例,通过演示Android产品配置、init启动流程、selinux权限管理、init.rc启动脚本定制等实际案例,让学员深入理解这些技术在实际产品开发中的应用场景和实现方法,提高学员的实际开发能力和经验,从而更好地应对实际产品开发中遇到的问题和挑战。知识运用方向学习Android启动方面的知识,可以参与如下实际开发工作项:启动流程定制: 根据产品需求调整Android启动流程,包括修改init.rc脚本、修改启动顺序和等待时间、加入自定义服务等。属性系统定制: 通过Android属性系统定制化启动流程,例如增加产品版本信息、定制开机音量等。日志系统分析: 掌握日志的捕捉、分析和排错技术,在启动过程中,需要加入调试信息来方便开发人员进行调试,同时需要进行日志的优化,避免日志输出过多占用过多的系统资源。selinux安全策略定制:在Android系统中,selinux是一种安全机制,用于保护系统的敏感资源和数据。在实际开发中,可能需要对selinux策略进行定制,以确保系统的安全性和稳定性。课程内容主要内容简述1, RK3399 开发板操作这部分内容重点介绍如何在FIreFly开发板上将Android 10系统运行起来, 包含编译FireFly的Android源码下载和编译, 镜像烧录运行,内核和模块编译,以及RK3399内核启动init进程的过程。2, 产品定制这部分讲解获取到方案商或者原厂提供的源码后, 如何定制一个新的产品,产品配置文件和模型, 原始代码中的配置文件和定制化东西3, Android日志代码编写之前讲过Android的日志系统, 并没涉及到代码编写, 这个部分重点讲解C/C++, java代码编写日志的API和代码4, 属性系统在Android中,属性使用的非常频繁的,可以用来作为进程间通信,也可以用于一些行为控制, 这个部分会重点介绍属性系统框架, API接口, 属性文件等知识点5,selinux进程对文件进行访问时,Android 4.3就开始集成了selinux权限管控, 如果需要启动某个脚本或者服务, selinux的配置就避免不了,并且Android8之后, Android系统对进程访问的权限管控的非常严格。6, init.rc脚本Android定义的一种脚本, 改脚本是有init进程启动, 是非常重要的一个脚本, 会包含系统中的其他很多脚本, 在我们系统开发时, 我们经常通过这个脚本进行一些定制化动作。7, init进程代码分析想要了解一个系统,就必须对源码进行分析和理解, 这个章节,带大家去跟读init进程代码, 这样,换了另外一个Android版本,完全就可以去读代码, 知道有什么变化。 
Android 12 S 系统开机流程分析 - SecondStageMain(三)
weixin_41028555的博客
11-14 828
define(`', `')define(`', `')define(`', `')
访问控制的三种模型(DAC、MAC、RBAC)
PK_666的博客
03-06 1万+
一、自主访问控制模型(DAC) 是资源的所有者,往往也是创建者,可以规定谁有权访问他们的资源。 安全性较低,不能抵御特洛伊木马的攻击。 DAC可以用访问控制矩阵来表示。 访问控制列表ACL: 访问能力表CP: 二、强制访问控制模型(MAC) 主体和客体都有一个固定的属性,系统用该安全属性来决定一个主体是否可以访问某个客体。 保护敏感信息一般用MAC,需要用户提供灵活的保护,更多的考虑共享信息时,使用DAC。 1.BLP模型(机密性) 向下读:当主体的安全级可以支配客体的安全级,且主体
SEAndroid安全机制中的进程安全上下文关联分析
810364804
07-28 616
前面一篇文章分析了文件安全上下文关联过程。但是在SEAndroid中,除了要给文件关联安全上下文外,还需要给进程关联安全上下文,因为只有当进程和文件都关联安全上下文之后,SEAndroid安全策略才能发挥作用。也就是说,当一个进程试图访问一个文件时,SEAndroid会将进程和文件的安全上下文提取出来,根据安全策略规则,决定是否允许访问。本文就详细分析SEAndroid的进程安全上下文的关联过程...
Android13 添加init.rc自定义服务,编译的时候在Selinux检测阶段出现 neverallow 编译报错 ,已解决
weixin_43522377的博客
08-11 3601
Android系统编译 报neverallow 错误的解决方法。
SELinux】总结之策略规则&语法&报错解决
Philister的博客
09-27 7848
SELinux Policy Language 文章目录SELinux Policy Language一、SELinux语法1. 类型2. 属性 - Attribute2.1 属性是什么2.2 属性的作用2.3 属性的语法与格式2.4 类型与属性的关联操作3. 别名 - Alias二、SELinux策略的规则1. AV规则的分类2. 通用AV规则的语法3. AV规则的秘钥(哈希key)4. 在AV规则中使用属性4.1 特殊类型self4.2 " - " 类型否定5. AV规则中类别和许可相关写法5.1 类别
SELinux详解
热门推荐
不知道
03-25 1万+
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
如何在Init里添加一个自启动程序,Server
求变,从思想开始
10-25 1551
一. 添加一个系统服务的权限声明 情景:定义一个init启动的service,demo_service,对应的执行文件是/system/bin/demo. (1) 创建一个demo.te在/device/mediatke/common/sepolicy 目录下       如果是Android4.4的源码,在/device/mediatke/common/BoardConfig.mk 的BOA...
安卓SELinux策略语法
似霰的博客
07-31 1813
本文介绍了安卓SELinux策略中的语法规则,主要包括:1)通用AV规则语法(allow、neverallow等);2)类型声明(type)及其属性关联(typeattribute);3)属性定义(attribute)和类型分组机制;4)别名定义(alias/typealias)及其兼容性作用;5)init_daemon_domain宏的详细解析,该宏用于为init启动的守护进程配置独立SELinux域。文章通过具体示例说明了各类语法规则的使用场景和编写规范,为安卓SELinux策略开发提供了实用参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值